Internetanvändare fortsatt usla på lösenord

Hur gör man med enheter som saknar usb/NFC?

FIDO2 är avsevärt smidigare än 2FA och lösenordshanterare, speciellt för gemene man som inte är speciellt datorkunnig. Problemet är ju dock att knappt några tjänster alls stödjer hårdvarunycklar i den utsträckning att de kan användas istället för lösenord och användarnamn. Det är overkill i dagsläget att använda nyckel som 2FA(om man inte tycker det är smidigare än att skriva in TOTPs) men det finns potential för att det ska möjliggöra för folk som inte förstår sig på lösenordshanterare/2FA att också enkelt få tillgång till hög säkerhet på sina konton.

Har faktiskt övervägt att komplettera bitwarden med Yubikey.

Det är sant att flertalet rodkombinationer inte är framslumpade. Häri ligger en svaghet. Yes. XKCDs exempel tar inte upp den delen av problemet. Så är det.

Men att varje enskilt ord hamnar i en dictionary gör inget. Det är lika farligt som att varje enskilt tecken hamnar i en dictionary ;).

Alltså om vi nu utgår ifrån att man använder en generator för att ta fram orden åt en.
Ja då kan man likna ett lösenord med 5 slumpvis valda ord i ett urval på 20.000 ord med att vi skulle ha 20.000 tecken i alfabetet och vi väljer 5 av dessa tecken slumpmässigt.
Ja och hur starkt blir ett lösenord på 5 tecken i ett alfabet med 20.000 tecken att välja från?
Ja i runda svängar lika starkt som ett lösenord med 11 valda tecken med 80 olika tecken som grund (a-ö, A-Ö, 0-9, ett gäng specialtecken).
Det gör alltså inget att tecknen är kända (eller orden för den delen om ord är basen isätllet) för säkerheten.
Den relevanta frågan är - är de framslumpade - och hur många kombinationer kan man få fram med vald metod.

Lösenordshanterare rekommenderar jag å det varmaste förresten!
Använd det för tusan. Det gör livet lättare på alla sätt. För unika lösenord på varje site ska man ha! Och eftersom lösenordshanteraren har inbyggd generator av lösenord - i form av random tecken så är det en fenomenal lösning.

Men ja - kan man använda ett lösenord till sin lösenordshanterare baserat på framslumpade ord? Yes.
Om man inte spånar fram dem själv iaf. För då uppstår svagheter på samma sätt som för teckenkombinationer som inte är framslumpade.

Varje gång jag läser om lösenordshantering låter det som om det är så otroligt enkelt att med brute force hitta ett lösenord. Jag undrar om det alltid är så? Varför tillåter t ex Gmail 1 biljon försök/s när jag själv får göra ca 1 försök var 5 s, ofta med ett max antal försök per tidsenhet. Så hur kommer de runt detta och varför tar inte företagen ansvar och skyddar mot detta, känns spontant som en enkel sak att göra (utan direkt insikt i hur det fungerar såklart).

Nån som orkar förklara lite snabbt?

Jag kräver att ni genast tar bort mina lösenord från denna artikel för annars måste jag byta lösenord på alla mina viktiga tjänster.

Angående lösenord på mindre viktiga ställen så har jag börjar med metoder att jag bara slumpar fram något, detta antecknar jag inte ens. Sedan använder jag tjänsten när jag är klar så loggar jag ut. Nästa gång om 2-3 år när jag ska logga in på samma ställe så begär jag bara ett nytt lösenord.
Jag tycker en trend att det idag har gått till att man ska ha konto på för många ställen av för dumma anledningar. Där en anledning kan vara att ladda hem ett gratisprogram.

Har slumpgenererade lösenord på alla ställen, antal tecken anpassar jag lite efter vad det är för ställe, tex ett ställe som tex paypal har många tecken och tvåstegs inlogg, andra ställen där det gör desamma om man blir hackad mindre antal tecken.

Har kört länge Roboform men ska vid tillfälle byta till nått icke molnbaserat..
Molnbaserade tjänster av alla slag är för osäkert och innebär förr eller senare problem, tex linan går ner, den blir hackad, eller helt enkelt försvinner..

Fast detta är ett missförstånd av XKCD-strippens metod - vilket iofs i sig innebär ett litet misslyckande för strippen, eftersom den så pass ofta verkar missförstås.

Följer man XKCDs instruktion med "four random common words" så får man lika bra entropi som en betydligt längre slumpmässig sträng av tecken, som @Söderbäck påpekar. Det förutsätter att orden väljs slumpmässigt, t.ex. med en slumpgenerator och en ordlista, inte att man fantiserar ihop en rad av tillsynes orelaterade ord efter eget huvud. Problemet med att hitta på uppsättningen av ord själv, som du delvis säger, är att våra associationsbanor hänger ihop på sätt som vi inte själva tänker på - de är inte slumpmässiga även om de upplevs så.

Språket jobbar emot oss här, för det har blivit kutym att tänka om våra egna påhitt som att "jag valde några slumpmässiga ord" eller "jag tog nåt random". Men detta är bara fel benämning på vad man faktiskt gör, det har inget med slump att göra.

Styrkan med XKCDs förslag är ett annat - med fyra slumpmässiga (i ordets rätta bemärkelse) ord, så kan man fortfarande utnyttja att våra hjärnor är extremt bra att hitta samband där det inte finns några. Just därför kan vi lätt komma ihåg en strof av ord som saknar mening, genom att fantisera ihop ett sätt på vilket orden kan hänga ihop. Men hela det arbete som hjärnan gör handlar om att komma ihåg lösenordet, inte om att generera det. Därför fungerar metoden. Men det kräver såklart att folk inte missförstår strippen, vilket jag tyvärr tror att många gör.

Rimligt enkelt att få till stöd för google authenticator totp med qr-koder

@loevet

https://github.com/google/google-authenticator/wiki/Key-Uri-F...

Mobilt BankID och QR code skall anses som en mänsklig rättighet
Det här tjafset om säkra, långa och krångliga lösenord kommer från folk utan fantasi och framåtanda

Använder lastpass. Känner mig korkad för det funkar ofta inte. Autofill'en vägrar göra sitt jobb. På telefonen måste jag skriva mitt superlånga masterpass varje gång(?) för att fylla i det specifika lösenordet? Kan jag väl lika gärna ha 123456 för enkelheten.

Är det alla mina annonsblockare som sabbar funktionaliteten. Eller har jag helt missuppfattat hur lösenordshanterare ska användas?

Man kan nog säga att 20.000 ord är ganska rättvist ändå. SAOB har väl 125.000 ord (med en hel del hittepå bör kanske tilläggas). 85% av orden är redan borttagna för 20.000. Men ja, man kan filtrera mer. Ta bort 75% till av de 20.000 då.
5000 ord.
Och lägg till möjligheten till stor bokstav på första bokstaven. 10.000 alternativ.
Bara versaler - 20.000
Engelska ord - 40.000 alternativ.
Böjningsformer - 80.000 alternativ.
And so on.
Fortfarande inte nå vidare krångligt att komma ihåg. Fast ja - följer man ett mönster att ha stor bokstav på första ordet, versaler på andra, ett engelskt på tredje and so on så är det förlorat. Aja baja. Måste slumpas. Precis som alltid ;).
Poängen är väl att 20.000 är väl egentligen inte är så orättvist som grundsiffra ändå.

Aja - dina sista två stycke sammanfattar väl vad jag tänker här också ;).

Bra länk för övrigt. Helt klart är det bättre fokus!

Exakt det jag försöker säga. Borde haft det för länge sedan ju

Topplistor över dåliga lösenord i all ära, men de blir ju orelevanta i och med att många använder skräplösenord för konton som de inte bryr sig om. Det är många sidor som kräver ett konto bara för att ladda hem en fil, eller titta på en artikel, eller vad som helst annat. Jag bryr mig inte över huvud taget om någon annan använder mitt konto där, och kommer av samma anledning inte lägga mycket möda (om ens någon) på att använda ett starkt lösenord. I många fall används kontot bara en gång.

Jag ger dig 1 poäng my dear sir.

Lösenordet som inte gick att knäcka:

my name is oh and captain smek is awesome and anyone who does not think that is a poomp1

Det är ju bland annat därför man enbart tillåter ett visst antal försök för att förhindra brute force och ddos attacker. Men skulle databasen komma på vilovägar är det bara att kötta på. Som redan nämnts används dictionary attacks först och då hittar man väldigt många lösenord. Sen kanske brute forcar man det. Du kan ladda ner t ex Kali Linux som har färdiga verktyg för detta. Det finns ju även fall där lösenorden saknar hash och salt och ligger i klartext och då är man körd direkt. Det är nog vanligare än vad man tror, jag har jobbat med stora internationella företag med flera miljoner användare som har lösenord i klartext.

Och vips om folk har samma lösenord på allt så kommer du åt så gott som allt. Oftast bäst att sälja vidare inloggningsuppgifterna så kan andra kriminella stjäla kortuppgifter, installera ransomware och kräva utpressning t ex.